Luận văn Xây dựng hệ thống phát xâm nhập phần mềm Snort LỜI CẢM ƠN Sau khoảng thời gian học tập rèn luyện Trường Công nghệ thông tin truyền thông đến em kết thúc khóa học Em xin bày tỏ lịng cảm ơn sâu sắc tới Ban chủ nhiệm khoa, thầy giáo tận tình giảng dạy, trang bị cho chúng em vốn kiến thức kinh nghiệm quý báu, cung cấp cho chúng em điều kiện mơi trường học tập tốt Để hồn thành đồ án tốt nghiệp, em xin gửi lời cảm ơn chân thành đến thầy giáo Thạc Sỹ Lê Tuấn Anh - giảng viên Trường Công nghệ thông tin trực tiếp hướng dẫn tạo điều kiện giúp đỡ em thời gian thực đồ án Cảm ơn thầy giáo, cô giáo bạn Trường Công nghệ thông tin giúp đỡ em thời gian qua, tạo điều kiện tốt để em hoàn thành đồ án tốt nghiệp Nhưng thời gian có hạn, kinh nghiệm kiến thức thực tế hạn chế, nên đồ án tốt nghiệp em chắn khơng tránh khỏi thiếu sót Em mong nhận góp ý bảo nhiệt tình từ phía thầy bạn để nâng cao khả chun mơn hồn thiện kiến thức Thái Nguyên, tháng năm 2013 Sinh viên Phạm Đức Thọ LỜI CAM ĐOAN Để hoàn thành đồ án tốt nghiệp thời gian quy định đáp ứng yêu cầu đề ra, thân em cố gắng nghiên cứu, học tập làm việc thời gian dài Em tham khảo số tài liệu nêu phần “Tài liệu tham khảo” không chép nội dung từ đồ án khác Toàn đồ án thân nghiên cứu, xây dựng nên Em xin cam đoan lời đúng, thơng tin sai lệch em xin hồn toàn chịu trách nhiệm trước thầy giáo hướng dẫn môn Thái Nguyên, tháng năm 2013 Sinh viên Phạm Đức Thọ DANH MỤC TỪ VIẾT TẮT Từ viết tắt Tên đầy đủ KPDL Khai phá liệu BTTM Bất thường mạng PTTB Phần tử tách biệt SOM Seft Organized Map HIDS Host-based Intrusion Detection System NIDS Network-based Intrusion Detection System IDS Intrusion Detection System DoS Denial of Service SNMP Simple Network Management Protocol HTTPS Hypertext Transfer Protocol CSDL Cơ sở liệu ICMP Internet Control Message Protocol TTL Time To Live MIB Management Information Base DANH MỤC HÌNH VẼ Hình Nội dung Hình 1.1 Số lượng máy bị cơng ngày tăng Hình 1.2 Thời gian lây nhiễm 10.000 máy rút ngắn Hình 1.3 Hệ thống phịng thủ theo chiều sâu Hình 1.4 Thành phần hệ thống IDS Hình 1.5 Hoạt động IDS Hình 1.6 Hoạt động HIDS Hình 1.7 Hoạt động NIDS Hình 1.8 Knowledge-based IDS Hình 1.9 Nguyên lý hoạt động hệ thống IDS Hình 1.10 IDS gửi TCP Reset Hình 1.11 IDS yêu cầu Firewall tạm dừng dịch vụ Hình 2.1 IDS dựa phát bất thường Hình 2.2 Hoạt động IDS dựa phát bất thường Hình 2.3 IDS dựa SOM Hình 2.4 Hệ thống phát bất thường sử dụng Kỹ thuật KPDL Hình 2.5 Ví dụ tổng hợp luật Hình 2.6 Hoạt động module Tổng hợp Hình 2.7 Tập hợp tri thức cơng Hình 3.1 Quan hệ thành phần Snort Hình 3.2 Sơ đồ giải mã gói tin MỤC LỤC Trang MỞ ĐẦU Bối cảnh nghiên cứu Theo Mạng An tồn thơng tin VSEC (The VietNamese security network), 70% website Việt Nam bị xâm nhập, 80% hệ thống mạng bị hacker kiểm sốt Điều cho thấy sách bảo mật hệ thống thông tin Việt Nam chưa quan tâm đầu tư mức Khi hệ thống thơng tin bị hacker kiểm sốt hậu khơng thể lường trước Đặc biệt, hệ thống hệ thống xung yếu đất nước hệ thống phủ, hệ thống ngân hàng, hệ thống viễn thông, hệ thống thương mại điện tử thiệt hại uy tín, kinh tế lớn Trong bối cảnh đó, việc phát triển sử dụng hệ thống phát xâm nhập - IDS ngày trở nên phổ biến đóng vai trị quan trọng khơng thể thiếu sách bảo mật an tồn thông tin hệ thống thông tin Nhiệm vụ IDS thu thập liệu Mạng, tiến hành phân tích, đánh giá, từ xác định xem có dấu hiệu công hay không IDS cảnh báo cho chuyên gia trước thủ phạm thực hành vi đánh cắp hay phá hoại thơng tin, giảm thiểu nguy an ninh hệ thống Hệ thống phát xâm nhập có hướng tiếp cận Tiếp cận dựa phát bất thường Tiếp cận dựa dấu hiệu Nếu dựa dấu hiệu, hệ thống sử dụng mẫu cơng có từ trước, tiến hành so sánh để xác định liệu xét có phải bất thường hay khơng Hướng sử dụng rộng rãi nhiên điểm yếu phát cơng có dấu hiệu biết trước Kỹ thuật phát bất thường khắc phục đặc điểm này, cách tiến hành xây dựng hồ sơ mô tả “trạng thái bình thường” Một hành vi hệ thống coi “bất thường” thông số đo có độ khác biệt đáng kể với mức “bình thường”, từ suy luận “bất thường” dấu hiệu hành vi công Rõ ràng hướng tiếp cận dựa hành vi bất thường có tính “trí tuệ” cao hồn tồn nhận diện cơng mà chưa có dấu hiệu cụ thể Nội dung nghiên cứu Trong thời gian thực đề tài, tác giả tiến hành nghiên cứu vấn đề sau: • Phân tích vai trị, chức Hệ thống xâm nhập trái phép, tìm hiểu thành phần, cách phân loại hoạt động hệ thống Đưa tiêu chi đánh giá hệ thống IDS • Tìm hiểu Hệ thống IDS dựa phát bất thường Phân tích ưu nhược điểm hướng tiếp cận Nghiên cứu kỹ thuật sử dụng để phát bất thường: Xác xuất thống kê, Máy trạng thái hữu hạn, Khai phá liệu, mạng Nơ-ron, Hệ chuyên gia Đưa đánh giá hiệu kỹ thuật • Xây dựng hệ thống phát bất thường cách sử dụng phần mềm phát xâm nhập Snort Cấu trúc đề tài Chương 1: Giới thiệu tổng quan Hệ thống Phát xâm nhập trái phép Trong chương tơi trình bày cách khái quát vai trò IDS hệ thống thơng tin, hình thức phân loại, cấu trúc nguyên lý hoạt động Hệ thống IDS Chương 2: Mô tả nguyên tắc phát công dựa theo dõi dấu hiệu bất thường hệ thống, so sánh đánh giá ưu, nhược điểm Hệ thống phát xâm nhập trái phép dựa phát bất thường Chương đưa đánh giá số hướng nghiên cứu thực Chương 3: Xây dựng hệ thống phát xâm nhập với Snort cho hệ thống thông tin Đưa cách xây dụng tập luật ứng dụng để phát xâm nhập trái phép Cuối kết luận hướng nghiên cứu đề tài CHƯƠNG TỔNG QUAN VỀ HỆ THỐNG PHÁT HIỆN XÂM NHẬP 1.1 Bảo mật hệ thống thơng tin Thơng tin cho có giá trị cao đảm bảo tính xác kịp thời, hệ thống cung cấp thơng tin có giá trị thực chức hệ thống đảm bảo hoạt động đắn Mục tiêu việc đảm bảo an toàn an ninh cho hệ thống thông tin đưa giải pháp ứng dụng giải pháp vào hệ thống để loại trừ giảm bớt nguy hiểm Hiện công ngày tinh vi, gây mối đe dọa tới an tồn thơng tin Các cơng đến từ nhiều hướng theo cách khác nhau, cần phải đưa sách biện pháp đề phịng cần thiết Mục đích cuối an tồn bảo mật hệ thống thông tin tài nguyên theo yêu cầu sau: • Đảm bảo tính tin cậy (Confidentiality): Thơng tin bị truy nhập trái phép người khơng có thẩm quyền • Đảm bảo tính ngun vẹn (integrity ): Thông tin bị sửa đổi, bị làm giả người khơng có thẩm quyền • Đảm bảo tính sẵn sàng (Availability): Thơng tin ln sẵn sàng để đáp ứng sử dụng cho người có thẩm quyền • Đảm bảo tính khơng thể từ chối (Non-repudiation): Thông tin cam kết mặt pháp luật người cung cấp Cần nhấn mạnh thực tế khơng có hệ thống an tồn tuyệt đối Bởi hệ thống bảo vệ dù đại chắn đến đâu có lúc bị vơ hiệu hóa kẻ phá hoại có trình độ cao có đủ thời gian Chưa kể tính an tồn hệ thống thơng tin cịn phụ thuộc nhiều vào việc sử dụng người Từ thấy vấn đề an toàn mạng thực tế chạy tiếp sức không ngừng không dám khẳng định có đích cuối hay khơng 1.1.1 Các nguy đe dọa Có nhiều nguy ảnh hưởng đến an toàn hệ thống thơng tin Các nguy xuất phát từ hành vi công trái phép bên từ thân lỗ hổng bên hệ thống Tất hệ thống mang lỗ hổng hay điểm yếu Nhìn cách khái quát, ta phân thành loại điểm yếu sau: • Phần mềm: Việc lập trình phần mềm ẩn chứa sẵn lỗ hổng Theo ước tính 1000 dịng mã có trung bình từ 5-15 lỗi, Hệ điều hành xấy dựng từ hàng triệu dòng mã(Windows: 50 triệu dòng mã) • Phần cứng: Lỗi thiết bị phần cứng Firewall, Router, • Chính sách: Đề quy định không phù hợp, không đảm bảo an ninh, ví dụ sách xác thực, qui định nghĩa vụ trách nhiệm người dùng hệ thống • Sử dụng: Cho dù hệ thống trang bị đại đến đâu người sử dụng quản lý, sai sót bất cẩn người dùng gây lỗ hổng nghiêm trọng Đối với hành vi cơng từ bên ngồi, ta chia thành hai loại là: công thụ động công chủ động “Thụ động” “chủ động” hiểu theo nghĩa có can thiệp vào nội dung vào luồng thông tin trao đổi hay không Tấn công “thụ động” nhằm đạt mục tiêu cuối nắm bắt thông tin, nội dung dị người gửi, người nhận nhờ vào thông tin điều khiển giao thức chứa phần đầu gói tin Hơn nữa, kẻ xấu cịn kiểm tra số lượng, độ dài tần số trao đổi để biết đặc tính trao đổi liệu Sau số hình thức cơng điển hình: a) Các hành vi dò quét: Bất xâm nhập vào môi trường mạng bắt đầu cách thăm dị để tập hợp thơng tin người dùng, cấu trúc hệ thống bên điểm yếu bảo mật Việc thăm dò thăm dò theo bước thăm dò thụ động(thu thập thông tin công khai) thăm dị chủ động(sử dụng cơng cụ để tìm kiếm thơng tin máy tính nạn nhân) Các cơng cụ dị qt • Rule header: nơi chứa action (hành động), protocol (giao thức truyền thông), Source IP address Destination IP Address với giá trị subnet mask số hiệu port địa IP nguồn đích • Rule option: nơi khai báo đặc tả tình trạng trùng khớp gói tin với rule, cảnh báo alert messenger ví dụ sau đây: alert tcp any any -> any 80 (content: "adult"; msg: "Adult Site Access";) Dòng lệnh cho ta thấy phần rule header alert tcp any any -> any 80 phần content: ("adult"; msg: "Adult Site Access";) rule option, rule option khơng bắt buộc phải có tất snort rule cho biết thông tin cần thiết lý để tạo rule hay hành động tương ứng Và kết dòng lệnh tạo cảnh báo (alert) TCP trafic từ địa IP port gởi đến địa IP Port 80 mà phần nội dung (payload) có chứa từ khóa Adult Nếu tình xảy ra, nghĩa có user LAN truy cập vào site có chứa từ Adult record Adult Site Access ghi vào log file 3.2.2.3.1 Rule Header Tiếp theo, ta sâu rule header, ví dụ alert tcp any any -> any 80, với phần alert rule action định nghĩa hành động mà snort thực packet trùng khớp với quy tắc mà ta tạo Có loại rule action sau: Rule Action Mô tả Alert Tạo cảnh báo ghi log file Log Ghi Log packet Pass Bỏ qua gói tin Activate Tạo cảnh báo bật chức dynamic rule Dynamic Chưa sử dụng, trừ có rule khác tương thích Khi action định nghĩa, ta cần phải xác định giao thức ví dụ TCP, Snort hổ trợ giao thức truyền thông sau TCP, UDP, ICMP, IP 52 Sau bổ sung địa IP cho snort rule mình, ví dụ any xác định địa IP nào, ngòai snort sử dụng định dạng netmask để khai báo mặt nạ mạng lớp A /8, địa lớp B /16 địa lớp C /24 Nếu muốn khai báo host sử dụng /32 Bên cạnh ta cịn dãy máy tính sau: Alert tcp any any -> [10.0.10.0/24, 10.10.10.0/24] any => (content: "Password"; msg:"Password Transfer Possible!";) Lưu ý: trường hợp dòng lệnh chia thành dòng thực bạn phải nhập dòng Còn muốn chia làm nhiều dòng khác cho dịng lệnh phải sử dụng dấu “\”, nhiên nên sử dụng dịng đơn Sau action, protocol ip address định nghĩa ta cần xác định số hiệu port dịch vụ, 80 cho dịch vụ truy cập Web hay port 21, 23 …Cũng áp dụng từ khóa any để áp dụng cho tất port, hay dùng dấu “;” để định dãy port đó: - Để ghi log truyền thông từ tất địa IP address tất port đến port 23 lớp mạng 10.0.10.0/24 sử dụng lệnh sau: Log tcp any any -> 10.0.10.0/24 23 - Ghi log tất truyền thông từ địa IP đến port nằm khỏang đến 1024 máy thuộc lớp mạng 10.0.10.0/24 sử dụng lệnh sau: Log tcp any any -> 10.0.10.0/24 1:1024 - Ghi log tất truyền thơng từ địa IP có số hiệu port thấp 1024 đến máy thuộc lớp mạng 10.0.10.0/24 destination port lớn 1024 sử dụng cú pháo sau: Log tcp any :1024 -> 10.0.10.0/24 1024 53 Ngồi ra, ta sử dụng tham số phủ định “!” trường hợp ghi log truyền thông giao thức TCP từ máy tính ngọai trừ 172.16.40.50 áp dụng cho tất port đến 10.0.10.0/24 sử dụng tất port : Log tcp ! 172.16.40.50/32 any -> 10.0.10.0/24 any Hay trường hợp ghi log tất truyền thơng đến máy tính thuộc lớp mạng 10.0.10.0/24 ngọai trừ port 23 sau: Log tcp any any -> 10.0.10.0/24 !23 Đến lúc ta duyệt qua số snort rule nhận thấy rule có lệnh điều hướng ->, xác định chiều truyền thông từ phải qua trái Trong trường hợp muốn áp dụng snort rule cho truyền thơng theo chiều sử dụng cú pháp thay cho -> trường hợp ghi log chiều tenlet session sau Log tcp 10.0.10.0/24 any 172.16.30.0/24 23 3.2.2.3.2 Rule Option Một snort rule có nhiều option khác phân cách giấu “;” rule option làm cho snort rule áp dụng linh động, mạnh mẽ Danh sách sau trình bày rule option thông dụng thường áp dụng snort rule: Rule Option Mô tả Msg Hiển thị thông báo alert packet log file Ttl Dùng để so sánh giái trị Time To Live IP header Id Dùng để so sánh giá trị IP header fragment Flags Dùng để so sánh tcp flag với giá trị định nghĩa Ack So sánh TCP ack cho giá trị định nghĩa Content So sánh nội dung packet với giá trị định nghĩa Khi từ khóa msg áp dụng rule yêu cầu ghi nhật ký cảnh báo snort chèn thêm thông điệp định nghĩa vào log file hay cảnh báo ví dụ 54 msg: "text here"; Khi ttl sử dụng rule yêu cầu snort so sánh với giá trị Time To Live, trường hợp thường áp dụng để dị tìm tuyến đường.Ví dụ đơn giản sau dùng để khai báo ttl: ttl: "time-value"; Còn trường hợp rule sử dụng từ khóa id yêu cầu Snort so sánh với IP header fragment theo id định như: id: "id-value"; Đối với trường hợp flags option có nhiều tình khác tùy theo flag yêu cầu so sánh, tùy chọn flag khai báo sau: - F: dùng cho cờ FIN S: dùng cho cờ SYN R: dùng cho cờ RST P: dùng cho cờ PSH A: dùng cho cờ ACK U: dùng cho cờ URG 2: dùng cho Reserved bit 1: dùng cho Reserved bit 0: dùng cho no tcp flags set Các tốn tử logic áp dụng cho tùy chọn flag + dùng để so khớp với tất flag, * dùng để xác định có trùng lắp với flag ! dùng để so sánh trùng lắp mang tính chất loại trừ Các reserved bit áp dụng tình phát trường hợp scan hay IP stack fingerprinting Sau ví dụ tùy chọn flags snort rule dùng để xác định dị tìm SYNFIN scans: Ví dụ sử dụng flags: Alert any any -> 10.0.10.0/24 any (flags: SF; msg: "SYN FIN => Scan Possible";) Tùy chọn ack áp dụng để so khớp với giá trị ACK tương ứng TCP header packet, ứng dụng Nmap dùng ACK flag để xác định tồn host 55 Trong số từ khóa content từ khóa quan trọng nhất, content áp dụng snort kiểm tra nội dung gói tin so sánh với giá trị khai báo content, có trùng lắp hành động tương ứng tiến hành Lưu ý giá trị áp dụng với content có tính chất case sensitive (phân biệt chữ hoa chữ thường) để tăng hiệu cho trình so sánh Snort sử dụng chế pattern-match gọi Boyer-Moore, với chế trình so sánh diễn hiệu máy có cấu hình yếu Cú pháp đơn giản từ khóa content là: content:"content value"; 3.2.2.3.3 Cách xây dựng luật Snort Ở phần ta thấy rõ ràng luật Snort bao gồm thành phần: phần Header phần Rule Option Như để xây dựng luật Snort ta phải bước xây dựng thành phần Sau ta xây dựng luật, luật có cho phép cảnh báo đến chuyên gia xảy trường hợp có lệnh ping sử dụng, đồng thời đưa cảnh báo có sử dụng mật mã password Tiến hành sau: Sử dụng trình sọan thảo Notepad nhập vào nội dung: log tcp any any -> any any (msg: "TCP Traffic Logged";) alert icmp any any -> any any (msg: "ICMP Traffic Alerted";) alert tcp any any -> any any (content: "password"; msg: => "Possible Password Transmitted";) Lưu tập tin thành c:\Snort\rules\security365.rule ,lưu ý chọn chế độ lưu trữ All file Notepad để không bị gắn thêm phần mở rộng 56 Để kiểm tra lại quy tắc vừa tạo ra, xóa tập tin thư mục C:\Snort\log mở cửa sổ dòng lệnh chạy lệnh sau cửa sổ thứ nhất: C:\Snort\bin\snort -c \Snort\rules\security365.rule -l \Snort\log Sau chạy lệnh cũa sổ lại: C:\ping www.dantri.vn C:\net send [ip_address] Here is my password Nhấn Ctrl-C hình thực thi Snort thấy gói tin lưu giữ quan sát log file thấy xuất cảnh báo 57 Bên cạnh việc tạo snort rule riêng ta áp dụng quy tắc tạo sẵn Hình sau trình bày nội dung pre-defined rule scan.rules thư mục C:\Snort\rules cách thiết lập quy tắc để phát FIN/SYN scan Nếu muốn áp dụng rule pre-defined tiến hành tương tự trường hợp rule ta thiết lập Trong trưòng hợp hệ thống có nhiều card mạng ta nên xác định rõ ràng số hiệu chúng để snort sử dụng Ngoài ra, thiết lập quy tắc cho giao thức ICMP phần Port ta đặt any 3.2.2.3.4 Các Ví Dụ Về Snort Rule Sau số snort rule với mô tả chúng Ta sử dụng chúng làm mẫu cho trình tạo snort rule - Để log tất truyền thông kết nối đến port 23 dịch vụ telnet: Log tcp any any -> 10.0.10.0/24 23 - Để log ICMP traffic đến lớp mạng 10.0.10.0: Log icmp any any -> 10.0.10.0/24 any - Cho phép tất trình duyệt Web mà không cần ghi log: Pass tcp any 80 -> any 80 58 - Tạo cảnh báo với thông điệp kèm theo: Alert tcp any any -> any 23 (msg: "Telnet Connection => Attempt";) - Dị tìm tình quét mạng với SYN/FIN : Alert tcp any any -> 10.0.10.0/24 any (msg: "SYN-FIN => scan detected"; flags: SF;) - Dị tìm tiến trình qt mạng TCP NULL: Alert tcp any any -> 10.0.10.0/24 any (msg: "NULL scan detected"; flags: 0;) - Dị tìm tiến trình OS fingerprinting: Alert tcp any any -> 10.0.10.0/24 (msg: "O/S Fingerprint => detected"; flags: S12;) - Tiến hành lọc nội dung: alert tcp any $HOME_NET -> !$HOME_NET any (content: => "Hello"; msg:"Hello Packet";) 3.3 Kết chương Chương giới thiệu cách tổng quan phần mềm Snort Các thành phần chế độ làm việc Đồng thời đưa cách xây dựng luật đưa luật vào ứng dụng Các thành phần bao gồm thành phần: Bộ giải mã gói tin, Các tiền xử lý, Máy phát hiện, Hệ thống cảnh báo ghi dấu Môđun xuất Các chế độ làm việc bao gồm: Sniffer Packet, Packer Logger, Network IDS Cuối cách xây dựng luật với thành phần bao gồm Header Rule Option KẾT LUẬN VÀ HƯỚNG NGHIÊN CỨU CỦA ĐỀ TÀI 59 Kết luận đề tài Trong thời gian làm đề tài, tác giả tìm hiểu hệ thống bảo mật, đặc biệt Hệ thống phát xâm nhập trái phép IDS thành phần quan trọng chiến lược phòng thủ theo chiều sâu Hệ thống thông tin Hệ thống phát xâm nhập trái phép có chức phát cảnh báo sớm dấu hiệu công, giúp chuyên gia chủ động đối phó với nguy xâm phạm Đề tài trình bày cách tổng quan nguyên lý hoạt động, hình thức phân loại, phương pháp phát xâm nhập cách sử dụng Snort để xây dựng Hệ thống phát xâm nhập Hệ thống IDS hoạt động dựa thành phần Cảm ứng, Giao diện Bộ phân tích Xét chức IDS phân thành loại NIDS HIDS NIDS thường đặt ngõ mạng để giám sát lưu thơng tồn mạng, cịn HIDS cài đặt máy trạm để phân tích hành vi liệu đến máy trạm Xét cách thức hoạt động hệ thống IDS chia thành giai đoạn là: Giám sát, Phân tích, Liên lạc, Cảnh báo Phản ứng Hệ thống IDS phát công dựa dấu hiệu dựa tượng bất thường Ý tưởng phương pháp Phát bất thường lấy sở nhận định: công thường gây dấu hiệu khác thường hệ thống, ví dụ tăng đột biến loại gói tin xuất phát từ Tấn công từ chối dịch vụ, hay xuất kết nối lạ thủ phạm dị qt điểm yếu Do đó, để cảnh báo công, hệ thống phân loại phát dấu hiệu “bất thường” tập thông số quan sát Với tiếp cận vậy, lợi Phương pháp khả phát kiểu cơng chưa có dấu hiệu hay biến thể công có mà Hệ thống IDS khác khơng thể nhận Ngồi ra, phương pháp Phát bất thường cịn giải vấn đề q tải tính tốn, tính tự động vận hành Hệ thống phát xâm nhập trái phép Hệ thống IDS dựa phát bất thường sử dụng kỹ thuật khác Đề tài giới thiệu hệ thống Phát bất thường dựa Xác 60 xuất thống kê, Máy trạng thái hữu hạn, Khai phá liệu, mạng Nơ-ron, Hệ chuyên gia Mỗi kỹ thuật có chế hoạt động riêng, đồng thời có ưu nhược điểm khác Đề tài giới thiệu số hướng nghiên cứu lĩnh vực đưa đánh giá hướng Chương đề tài tác giả xây dựng Hệ thống phát xâm nhập với Snort cho hệ thống thông tin Đồng thời trình bày phận cấu thành Snort, nguyên lý hoạt động phối hợp phận cấu thành Snort Chương đặc biệt sâu cách xây dựng, quản lý, thực thi cập nhật tập luật Hướng nghiên cứu Lĩnh vực Phát bất thường lĩnh vực nghiên cứu mới, đã, quan tâm vai trị Hệ thống thông tin Sau số hướng nghiên cứu mà tác giả dự định phát triển thêm:  Xây dựng phần mềm Phát bất thường dựa Hệ chuyên gia  Tìm hiểu kỹ thuật Phát bất thường khác để tăng khả phòng thủ hệ thống TÀI LIỆU THAM KHẢO 61 [1] Marina Thottan, Chuanyi Ji, Anomaly Detection in IP Networks, IEEE transactions on Signal processing, August 2003 [2] Nguyễn Linh Giang, Anomaly Detection by statistucal analysis and neutral network, Department of Communcation and Computer Networks, Ha Noi University of Technology [3] Stefan Alexsson, Research in Intrusion-Detection System: A Survey, Chalmers University of Technology, Sweden 1998 [4] James A.Hoagland, Practical automated detetion of stealthy portscans, Journal of Computer Security 10 (2002) [5] Matthew Vincent Mahoney, A Machine Learning Approach to Detecting Attacks by Indentifying Anomalies in Network Traffic, Florida Institude of Technology 2003 [6] Christopher Kruegel, Bayesian Event Classification for Intrusion Detection, University of California, Santa Barbara, 2003 [7] Intrusion Prevention Fundamental, Cisco Press 2006 [8] Matthew Tanase, One of These Things is not Like the Other: The State of Anomaly Detection [9] Network Security Architectures, Cisco Press 2004 [10] Network Intrusion detection, Third Edition, SANS 2006 [11] F.Feather and R.Maxion, Fault detection in an ethernet network using anomaly signature matching [12] M.M.Breuning, H.P.Kriegel, R.T.Ng, J.Sander, LOF: Identifying densityBased Local Outliers, Proceedings of the ACM SIGMOD Conference, 2000 [13] Hawkins D.M, Indentification of Outliers, Chapman and Hall, London 1980 62 PHỤ LỤC Tấn công từ chối dịch vụ Tấn cơng từ chối dịch vụ DoS mơ tả hành động ngăn cản người dùng hợp pháp truy cập sử dụng vào dịch vụ Nó bao gồm làm tràn ngập mạng, kết nối với dịch vụ mà mục đích cuối máy chủ đáp ứng yêu cầu sử dụng dịch vụ từ máy trạm DoS làm ngưng hoạt động máy tính, mạng nội bộ, chí hệ thống mạng lớn Về chất thực DoS, kẻ công chiếm dụng lượng lớn tài nguyên mạng băng thông, nhớ làm khả xử lý yêu cầu dịch vụ từ máy trạm khác Các cách thức công DoS Tấn công kiểu SYN flood Lợi dụng cách thức hoạt động kết nối TCP/IP, hacker bắt đầu trình thiết lập kết nối TCP/IP tới mục tiêu muốn công mà không gửi trả gói tin ACK, khiến cho mục tiêu ln rơi vào trạng thái chờ (đợi gói tin ACK từ phía u cầu thiết lập kết nối) liên tục gửi gói tin SYN ACK để thiết lập kết nối Một cách khác giả mạo địa IP nguồn gói tin yêu cầu thiết lập kết nối SYN trường hợp trên, máy tính đích rơi vào trạng thái chờ gói tin SYN ACK khơng thể đến đích địa IP nguồn khơng có thật Kiểu cơng SYN flood hacker áp dụng để công hệ thống mạng có băng thơng lớn hệ thống hacker Client sends SYN segment to Server Server returns ACK and its own SYN Client Client returns SYN to server Instead of a ACK Server Kiểu công Land Attack Kiểu công Land Attack tương tự SYN flood, hacker sử dụng IP mục tiêu cần công để dùng làm địa IP nguồn gói tin, đẩy mục tiêu vào vịng lặp vơ tận cố gắng thiết lập kết nối với Kiểu cơng UDP flood Hacker gửi gói tin UDP echo với địa IP nguồn cổng loopback mục tiêu cần cơng máy tính mạng Với mục tiêu sử dụng cổng UDP echo (port 7) để thiết lập việc gửi nhận gói tin echo máy tính (hoặc mục tiêu với mục tiêu có cấu hình cổng loopback), khiến cho máy tính sử dụng hết băng thơng chúng, cản trở hoạt động chia sẻ tài nguyên mạng máy tính khác mạng Tấn cơng kiểu DDoS (Distributed Denial of Service) Đây cách thức công nguy hiểm Hacker xâm nhập vào hệ thống máy tính, cài đặt chương trình điều khiển từ xa, kích hoạt đồng thời chương trình vào thời điểm để đồng loạt công vào mục tiêu Với DDoS, hacker huy động tới trăm chí hàng ngàn máy tính tham gia cơng thời điểm (tùy vào chuẩn bị trước hacker) “ngốn” hết băng thơng mục tiêu nháy mắt Kiểu công Smurf Attack Kẻ công lợi dụng nguồn tài nguyên mà nạn nhân cần sử dụng để công Những kẻ cơng thay đổi liệu tự chép liệu mà nạn nhân cần nên nhiều lần, làm CPU bị tải trình xử lý liệu bị đình trệ Kiểu cơng cần hệ thống quan trọng, mạng khuyếch đại Hacker dùng địa máy tính cần cơng cách gửi gói tin ICMP echo cho tồn mạng (broadcast) Các máy tính mạng đồng loạt gửi gói tin ICMP reply cho máy tính mà hacker muốn cơng Kết máy tính khơng thể xử lý kịp thời lượng lớn thông tin dẫn tới bị treo máy Tấn công kiểu Tear Drop Trong mạng chuyển mạch gói, liệu chia thành nhiều gói tin nhỏ, gói tin có giá trị offset riêng truyền theo nhiều đường khác để tới đích Tại đích, nhờ vào giá trị offset gói tin mà liệu lại kết hợp ban đầu Lợi dụng diều này, hacker tạo nhiều gói tin có giá trị offset trùng lặo gửi đến mục tiêu muốn cơng Kết máy tính đích khơng thể xếp gói tin dẫn tới bị treo máy bị “vắt kiệt” khả xử lý ... sau ta xây dựng hệ thống 38 phát bất thường dựa tập luật (Rule-based Detection) với phần mềm phát xâm nhập Snort 39 CHƯƠNG XÂY DỰNG HỆ THỐNG PHÁT HIỆN XÂM NHẬP BẤT THƯỜNG VỚI PHẦN MỀM Snort 3.1... Nơ-ron, Hệ chuyên gia Đưa đánh giá hiệu kỹ thuật • Xây dựng hệ thống phát bất thường cách sử dụng phần mềm phát xâm nhập Snort Cấu trúc đề tài Chương 1: Giới thiệu tổng quan Hệ thống Phát xâm nhập. .. điểm Hệ thống phát xâm nhập trái phép dựa phát bất thường Chương đưa đánh giá số hướng nghiên cứu thực Chương 3: Xây dựng hệ thống phát xâm nhập với Snort cho hệ thống thông tin Đưa cách xây dụng